LDAP

LDAP は DiskStation を LDAP クライアントとして既存のディレクトリサービスに追加し、LDAP サーバー（または「directory server」）からユーザー情報やグループ情報を取得できるようにします。ローカル DSM ユーザーやグループで行う場合と同じように、LDAP ユーザーまたはグループの DSM アプリケーションや共有フォルダへのアクセス権を管理することができます。LDAP に関する詳細は、こちらを参照してください。

サポートされる LDAP 規格は LDAP バージョン 3 (RFC 2251) です。

DiskStation をディレクトリサービスに追加するには：

CIFS サポートとクライアントコンピュータの設定について

CIFS を介して DiskStation ファイルにアクセスできるようにするには、CIFS 書式なしパスワード認証を有効にした後、LDAP ユーザーがコンピュータの設定を変更する必要があるかもしれません：

DiskStation を Synology LDAP サーバー（または [Directory Server] パッケージがインストールされ、実行された別の DiskStation）が提供するディレクトリサービス、または Samba スキーマに対応する LDAP サーバーに接続し、すべての LDAP ユーザーが正しい sambaNTPassword 属性を持っている場合は、LDAP ユーザーは [CIFS 書式なしパスワード認証] にチェックマークを付けたり、コンピュータの設定を変更したりしなくても、CIFS で DiskStation のファイルにアクセスすることができます。そうしなければ、LDAP ユーザーはコンピュータの PAM サポートを有効にして、CIFS で DiskStation のファイルにアクセスできるようにする必要があります。ただし、これを行うと LDAP ユーザーパスワードがテキストのみ形式（暗号化せずに）で DiskStation に転送するため、セキュリティレベルが下がります。

Windows 設定を編集するには：

[スタート] > [ファイル名を指定して実行] を選択し、regedit と入力した後、[OK] をクリックするとレジストリエディタが開きます。
Windows バージョンによって、次のレジストリを検索するか作成します：

Windows 2000、XP、Vista、Windows 7：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
Windows NT：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
Windows 95 (SP1)、98、Me：
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]

DWORD 値 EnablePlainTextPassword を作成または変更し、その値を 0 から 1 に変更します。
変更内容を有効にするために、Windows を再起動します。

Mac OS X の設定を変更する：

[アプリケーション] > [ユーティリティ] に移動し、[端末] を開きます。
空白のファイル /etc/nsmb.conf を作成します：
```
sudo touch /etc/nsmb.conf
```
vi で /etc/nsmb.conf を開きます：
```
sudo vi /etc/nsmb.conf
```
「i」を入力してテキストを挿入し、次のキーを貼り付けます：
```
[default]

minauth=none
```
Esc キーを押して「ZZ」と入力し、変更内容を保存して vi を終了します。

Linux の設定を変更する：

smbclient をご使用の方は、smb.conf の [global] セクションに次のキーを追加してください：

encrypt passwords = no
client plaintext auth = yes
client lanman auth = yes
client ntlmv2 auth = no

mount.cifs をお使いの方は、次のコマンドを実行してください。

echo 0x30030 > /proc/fs/cifs/SecurityFlags

詳しくは、https://www.kernel.org/doc/readme/Documentation-filesystems-cifs-README を参照してください

プロファイルについて

LDAP サーバーによってアカウント名、グループ名に使用する属性や、アカウントとグループを区別するための属性は異なります。[プロファイル] オプションは、ユーザーやグループ情報がどのように LDAP の属性に割り当てられるかを指定したり、カスタマイズしたりします。次のプロファイルの 1 つは、LDAP サーバーによって選択できます：

標準：Synology Directory Server または Mac Open Directory を起動するサーバー向け。
IBM Lotus Domino：IBM Lotus Domino 8.5 を起動するサーバー向け。
カスタマイズ：マッピングをカスタマイズできます。詳細は、次のセクションをお読みください。

LDAP の属性のマッピングをカスタマイズするには、多少の知識が必要です。Synology DSM およびプロファイルエディタは共に、RFC 2307 に準拠します。例えば、userFilter として filter > passwd を指定できます。この場合、DiskStation は LDAP サーバー上の objectClass=userFilter を持つ記録を LDAP アカウントとして解釈します。passwd > uid を username として指定すると、DiskStation は LDAP サーバー上の username をアカウント名として解釈します。マッピングを指定しなければ、RFC 2307 規則が適用されます。

DiskStation が LDAP アカウント識別子（uidNumber）、またはグループ識別子（gidNumber）として機能するには、固定整数が必要です。ただし、すべての LDAP サーバーが整数を使ってこのような属性を代表する訳ではありません。したがって、このような属性を整数に変換するために、HASH() と言うキーワードが提供されています。例えば、LDAP サーバーが十六進数を持つ userid と言う属性を LDAP アカウントの専用識別子として使用する場合があります。この場合、passwd > uidNumber を HASH(userid) に設定すると、DiskStation がそれを整数に変換します。

以下は、カスタマイズできる属性をまとめたものです。

filter

group：グループに必要な objectClass です。
passwd：ユーザーに必要な objectClass です。
shadow：ユーザーパスワードに必要な objectClass です。

group

cn：グループ名。
gidNumber:このグループの GID 番号。
memberUid：このグループのメンバー。

passwd

uidNumber:このユーザーの UID 番号。
uid：ユーザー名。
gidNumber:このユーザーのプライマリ GID 番号。

shadow

uid：ユーザー名。
userPassword：ユーザーパスワード。

UID/GID シフトについて

LDAP ユーザー/グループとローカルユーザー/グループの間で UID/GID の競合を避けるために、UID/GID シフトを有効にすると、LDAP ユーザー/グループの UID/GID を 1000000 ずつシフトすることができます。このオプションは、非 Synology LDAP サーバーである LDAP サーバーで、各ユーザー/グループが自分の数字 ID 属性を持っている場合のみ使用できます。

ネスト化されたグループの拡張について

ネスト化されたグループでは、LDAP グループメンバーは、組織の階層が示されている、別の LDAP グループに属しています。ユーザーが、特定のメンバーが属するグループまたは特定のグループの名前リストを検索する際、DiskStation が、LDAP グループの メンバー属性に従ってネスト化されたグループを拡張します。ここでの子グループの DN（識別名）が属性によって参照されます。ネスト化されたグループの拡張は、さまざまな状況下において非常に時間がかかる作業となることがあります。たとえば、サーバーが メンバー 属性をインデックス化しないことや、グループが深くネスト化されている場合などがあります。このようなことが発生しないようにするためにも、ネスト化されたグループの拡張を行わないことを選択することができます。